Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Gatekeeper, XProtect, die Sandbox oder signierte Applikationen: Sie alle sind nahezu wirkungslos gegen Malware. Das demonstrierte der IT-Sicherheitsforscher Patrick Wardle in seinem Vortrag auf der RSA-Konferenz 2015 in San Francisco. Auch gängige Antivirensoftware für Mac OS X verhindert seinen Analysen zufolge keine Infektion. Nicht eine der von ihm überprüften Lösungen habe seine selbstprogrammierte Malware erkannt. Angreifer benötigen aber meist Root-Rechte.

Wardle, der für den Unternehmensberater Synack arbeitet, weist darauf hin, dass Mac OS X mit zunehmender Verbreitung ein immer beliebteres Angriffsziel für Malware-Programmierer wird.

Er machte einige Schwächen etwa bei Gatekeeper aus: Es teste nur, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt, etwa dem App-Store. Ob eine Anwendung modifiziert wurde, kann Gatekeeper nicht feststellen. Gatekeeper überprüft auch nicht, ob eine Anwendung zusätzlichen Code in das System einschleust.

Kaum Schutz durch Systemwerkzeuge

XProtect soll eigentlich anhand eines Hashwerts erkennen, ob es sich um eine legitime Anwendung oder um Malware handelt. Wardle benannte eine bereits bekannte Malware kurzerhand um und überlistete Xprotect damit problemlos.

Auch die Überprüfung der Codesignaturen sei unzuverlässig, sagte Wardle. Solche Signaturen können ohne weiteres entfernt werden, etwa mit einem einfachen Python-Skript. Ohne Signatur wird die Anwendung dennoch gestartet, auch wenn sie zuvor mehrfach mit einer gültigen Signatur aufgerufen wurde. Der Kext-Daemon des Systems, der Signaturen von Kernel-Erweiterungen überprüfen soll, kann mit einfachen Benutzerrechten so manipuliert werden, dass eine Überprüfung wegfällt. Wird er beendet, fällt eine Überprüfung ebenfalls weg, Anwendungen lassen sich dennoch starten.

Auch die Sandbox von Mac OS X, in der Anwendungen in einer isolierten Umgebung laufen sollen, sei anfällig, sagte Wardle. Sie laufe zwar stabil, habe aber etliche Schwachstellen, die es einer Anwendung erlauben, aus der Sandbox auszubrechen. In Googles Project Zero wurden bereits 20 solcher Schwachstellen gelistet.

Kostenlose Werkzeuge sollen helfen

Im Internet kursiere bereits zahlreiche Malware wie Callme, Crisis, Kitmos oder Yontoo, die mit gültigen Entwicklerzertifikaten versehen sind, so Wardle. Eine ähnliche Vorgehensweise wurde im November 2014 unter dem Namen Masque Attack bekannt. Dabei wurden unter anderem Plugins für Spotlight oder Cronjobs genutzt, um Malware nachhaltig im System zu installieren. Allerdings benötigen die meisten Angriffe Root-Rechte, etwa durch die nur teilweise behobene Rootpipe-Schwachstelle, wie Wardle in seinem Video demonstrierte.

Wardle hat zwei kostenlose Werkzeuge bereitgestellt, die Nutzern helfen sollen, mögliche Schadsoftware zu entdecken. Knock Knock sendet Hashwerte aller gestarteten Dateien an Virus Total und benachrichtigt den Anwender so bei möglichen Gefahren. Block Block meldet, wenn ein Prozess versucht, auf eine Stelle im System zuzugreifen, das bekanntermaßen von Malware ausgenutzt wird.